漏洞信息详情
WordPress Trashed Posts 信息泄露漏洞
- CNNVD编号:CNNVD-201002-237
- 危害等级: 中危
- CVE编号: CVE-2010-0682
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2010-02-23
- 威胁类型: 远程
- 更新时间: 2010-02-24
- 厂 商: wordpress
- 漏洞来源: Thomas Mackenzie
漏洞简介
WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL 数据库的服务器上架设自己的网志。
WordPress 的trash posts存在信息泄露漏洞。远程认证用户可以借助一个可修改的p参数读取其他用户的trash posts。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
WordPress WordPress 2.2.1
WordPress latest.tar.gz
http://wordpress.org/latest.tar.gz
参考网址
来源: wordpress.org
链接:http://wordpress.org/development/2010/02/wordpress-2-9-2/
来源: core.trac.wordpress.org
链接:https://core.trac.wordpress.org/ticket/11236
来源: OSVDB
名称: 62330
链接:http://www.osvdb.org/62330
来源: MISC
链接:http://tmacuk.co.uk/?p=180
来源: SECUNIA
名称: 38592
链接:http://secunia.com/advisories/38592
来源: MISC
链接:http://hakre.wordpress.com/2010/02/16/the-short-memory-of-wordpress-org-security/
受影响实体
- Wordpress Wordpress:2.9.1
- Wordpress Wordpress:2.9.1:Rc1
- Wordpress Wordpress:2.9.1:Beta1
- Wordpress Wordpress:2.9
补丁
- wordpress-2.9.2
- wordpress-2.9.2-IIS
评论